銀行信息安全管理辦法

XX銀行信息安全治理方法第一章總則第一條為加強XX銀行〔下稱“本行”〕信息安全治理，防范信息技術(shù)風險，保障本行計算機網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運行，依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等，特制定本方法。其次條本方法所稱信息安全治理，是指在本行信息化工程立項、建設(shè)、運行、維護及廢止等過程中保障信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列治理活動。第三條本行信息安全工作實行統(tǒng)一領(lǐng)導和分級治理，由分管領(lǐng)導負責。依據(jù)“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實部門與個人信息安全責任。第四條本方法適用于本行。全部使用本行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人均應遵守本方法。其次章組織保障第五條常設(shè)由本行領(lǐng)導、各部室負責人及信息安全員組成的信息安全領(lǐng)導小組，負責本行信息安全治理工作，決策信息安全重大事宜。第六條各部室、各分支機構(gòu)應指定至少一名信息安全員，協(xié)作信息安全領(lǐng)導小組開展信息安全治理工作告各類信息安全大事并獵取專業(yè)支持。第八條本行應建立與外部信息安全專業(yè)機構(gòu)、專家的聯(lián)系，準時跟蹤行業(yè)趨勢，學習各類先進的標準和評估方法。第三章人員治理第九條本行全部工作人員依據(jù)不同的崗位或工作范圍，履行相應的信息安全保障職責。日常員工信息安全行為準則參見《XX銀行員工信息安全手冊》。第一節(jié)信息安全治理人員第十條本方法所指信息安全治理人員包括本行信息安全領(lǐng)導小組和信息安全工作小組成員。第十一條應選派政治思想過硬、具有較高計算機水平的人員從事信息安全治理工作。但凡因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過懲罰或處分的人員，不得從事此項工作。第十二條信息安全治理人員每年至少參與一次信息安全相關(guān)培訓。第十三條安全工作小組在如下職責范圍內(nèi)開展信息安全治理工作：〔一〕組織落實上級信息安全治理規(guī)定，制定信息安全治理制度，協(xié)調(diào)信息安全領(lǐng)導小組成員工作，監(jiān)視檢查信息安全治理工作?！捕硨徍诵畔⒒ㄔO(shè)工程中的安全方案，組織實施信息安全保障工程建設(shè)。〔三〕定期監(jiān)視網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全治理狀況，覺察問題，準時通報和預警，并提出整改意見?！菜摹辰y(tǒng)計分析和協(xié)調(diào)處臵信息安全大事。〔五〕第十四條信息安全領(lǐng)導小組成員在如下職責范圍內(nèi)開展工作：〔一負責本行信息安全治理體系的落實?！捕撠熖岢霰拘行畔踩Ｕ闲枨蟆！踩池撠熃M織開展本行信息安全檢查工作。其次節(jié)技術(shù)支持人員第十五條本方法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包效勞人員。第十六條本行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責過程中，應擔當如下安全義務(wù)：〔一〕不得對外泄漏或引用工作中觸及的任何敏感信息。〔二〕嚴格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自轉(zhuǎn)變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。—4—〔三〕主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，覺察安全隱患或故障準時報告本部室主管領(lǐng)導，并準時響應、處臵?！菜摹硣栏癫僮髦卫怼y試治理、應急治理、配臵治理、變更治理、檔案治理等工作制度，做好數(shù)據(jù)備份工作。第十七條外部技術(shù)支持人員應嚴格履行外包效勞合同〔協(xié)議〕的各項安全承諾，簽署保配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。第三節(jié)一般計算機用戶第十八條本規(guī)定所稱一般計算機用戶是指使用計算機設(shè)備的全部人員。第十九條一般計算機用戶應擔當如下安全義務(wù)：〔一的指導與治理?！捕Z以屏蔽信息安全防護。〔三〕〔四〕不得將個人計算機接入內(nèi)部網(wǎng)絡(luò)或私自拷貝任何信息。第四章資產(chǎn)治理其次十條本行對全部信息資產(chǎn)進展識別、評估相對價值及重要性，建立資產(chǎn)清單并說明使用規(guī)章，明確定義信息資產(chǎn)責任人及其職責。細則參見《XX銀行信息資產(chǎn)分類分級治理其次十一條依據(jù)信息資產(chǎn)的價值、法律要求及敏感程度和對業(yè)務(wù)關(guān)鍵程度，分別依據(jù)機其次十二條依照信息資產(chǎn)的分類分級實行不同的安全保護措施，制定完善的訪問掌握策略，防止未經(jīng)授權(quán)的使用。其次十三條依據(jù)《XX銀行介質(zhì)治理標準》加強介質(zhì)治理與銷毀操作治理，確保本行數(shù)據(jù)的可用性、保密性、完整性。第五章物理環(huán)境安全治理第一節(jié)機房安全治理空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。其次十五條本行機房的信息安全治理由本行本行信息科技部門負責具體實施和落實。〔UPS〕、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控。機房治理員應經(jīng)過相關(guān)專業(yè)培訓，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，錄等有關(guān)資料，并隨時供給調(diào)閱。其次十八條建立機房定期修理保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期修理過的設(shè)備等應成為保養(yǎng)的重點。其次十九條依據(jù)《浙江省農(nóng)村合作金融機構(gòu)機房治理指引》進一步標準機房建設(shè)、改造和驗收過程，落實機房治理。第三十條信息安全領(lǐng)導小組負責定期審核機房安全治理落實狀況，并保存相應的審核記錄和審核結(jié)果。其次節(jié)重要區(qū)域安全治理第三十一條本章節(jié)所指重要區(qū)域為：本行信息中心主備機房和運維監(jiān)控室等區(qū)域。本行信息中心負責制定和執(zhí)行運維監(jiān)控方面的安全治理制度。第三十二條重要區(qū)域應嚴格出入安全治理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當配臵自動監(jiān)控報警功能。第三十三條全部門禁、視頻監(jiān)視錄像系統(tǒng)的信息資料至少保存三個月。第三節(jié)辦公環(huán)境安全治理第三十四條在本行大樓入口應設(shè)臵門衛(wèi)或接待員，負責出入或公共訪問區(qū)域的物理安全治理和外來人員的出入登記。第三十五條本行信息中心樓層設(shè)立門禁，加強人員進出治理。第三十六條本行信息中心員工應在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第三十七條未經(jīng)允許，嚴禁在信息中心辦公區(qū)域內(nèi)進展攝影、攝像、錄音等記錄日常辦公行為的活動。第六章網(wǎng)絡(luò)安全治理第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全治理第三十八條本行網(wǎng)絡(luò)信息科技部負責網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配臵和網(wǎng)絡(luò)資源〔網(wǎng)絡(luò)設(shè)備、通訊線路、IP地址和域名等〕安排。第三十九條依據(jù)統(tǒng)一規(guī)劃和總體部署原則，由信息科技部組織實施網(wǎng)絡(luò)建設(shè)、改造工程，工程投產(chǎn)前應通過安全測試與評估。第四十條本行網(wǎng)絡(luò)建設(shè)和改造應符合如下根本安全要求：〔一〕網(wǎng)絡(luò)規(guī)劃應有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應用安全?！捕尘邆浔匾木W(wǎng)絡(luò)監(jiān)測、跟蹤和審計等治理功能?！踩翅槍Σ煌木W(wǎng)絡(luò)安全域，實行必要的安全隔離措施?！菜摹衬苡行Х乐褂嬎銠C病毒對網(wǎng)絡(luò)系統(tǒng)的侵擾和破壞。其次節(jié)網(wǎng)絡(luò)運行安全治理第四十一條信息科技部應建立健全網(wǎng)絡(luò)安全運行方面的制度，配備專職網(wǎng)絡(luò)治理員。網(wǎng)絡(luò)治理員負責日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況，治理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運行維護檔案，準時覺察和解決網(wǎng)絡(luò)特別狀況。第四十二條網(wǎng)絡(luò)治理員應定期參與網(wǎng)絡(luò)安全技術(shù)培訓，具備肯定的非法入侵、病毒集中等網(wǎng)絡(luò)安全威逼的應對技能。第四十三條嚴格網(wǎng)絡(luò)接入治理。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應經(jīng)過網(wǎng)絡(luò)治理人員的審核與檢測，審核〔檢測〕通過前方可接入并安排相應的網(wǎng)絡(luò)資源。第四十四條嚴格網(wǎng)絡(luò)變更治理。網(wǎng)絡(luò)治理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和效勞端口時，應嚴部門并安排在非交易時間或交易較少時間進展第四十五條嚴格遠程訪問掌握。確因工作需要進展遠程訪問的人員應向信息簡科技部提出書面申請，并實行相應的安全防護措施。第四十六條信息安全治理人員負責定期對網(wǎng)絡(luò)進展安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息，不得向外界供給。未經(jīng)授權(quán)，任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。第三節(jié)接入國際互聯(lián)網(wǎng)治理第四十七條信息科技部負責制定本行互聯(lián)網(wǎng)方面治理制度，對互聯(lián)網(wǎng)接入進展嚴格的掌握，防范來自互聯(lián)網(wǎng)的威逼。第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實行安全隔離。全部接入內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。第四十九條內(nèi)部網(wǎng)絡(luò)計算機嚴禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應通過信息安全工作小組審核并上報相關(guān)領(lǐng)導審批，確保安裝有指定的防病毒軟件和最補丁程序。經(jīng)審批后連接國際互聯(lián)網(wǎng)的計算機，不得存留涉密金融數(shù)據(jù)信息；存有涉密金融數(shù)據(jù)信息的介質(zhì)，不得在接入國際互聯(lián)網(wǎng)的計算機上使用。第五十條曾接入國際互聯(lián)網(wǎng)的計算機嚴禁接入內(nèi)部網(wǎng)絡(luò)，確有必要接入內(nèi)部網(wǎng)絡(luò)的應通過安全工作小組審核并上報相關(guān)領(lǐng)導審批，經(jīng)安全檢測前方能接入。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。第五十一條使用國際互聯(lián)網(wǎng)的全部用戶應遵守國家有關(guān)法律法規(guī)和本行相關(guān)治理規(guī)定，不得從事任何違法違規(guī)活動。第七章訪問掌握第五十二條本行負責建立訪問掌握制度，對信息資產(chǎn)和效勞的訪問和權(quán)限安排進展掌握。第五十三條信息資產(chǎn)的責任人負責確定信息資產(chǎn)和效勞的訪問權(quán)限，運行維護科依據(jù)授權(quán)進展相關(guān)設(shè)定操作。第五十四條信息系統(tǒng)用戶設(shè)臵本人的用戶和密碼，并對其訪問掌握權(quán)限負責。重要信息系統(tǒng)操作人員的密碼應由系統(tǒng)治理員和業(yè)務(wù)部門負責人分段設(shè)立。第五十五條但凡能夠執(zhí)行錄入、復核制度的信息系統(tǒng)，操作人員不得一人兼錄入、復核兩職。未經(jīng)主管領(lǐng)導批準，不得代崗、兼崗。第五十六條應啟用安全措施限制授權(quán)用戶對操作系統(tǒng)的訪問，包括但不限于：〔一〕依據(jù)已定義的訪問掌握策略鑒別授權(quán)用戶；〔二〕記錄成功和失敗的系統(tǒng)訪問企圖；〔三〕記錄專用系統(tǒng)特別權(quán)限的使用狀況；〔四〕當違反系統(tǒng)安全策略時公布警報；〔五〕供給適宜的身份鑒別手段；〔六〕限制用戶的連接時間。第五十七條對應用系統(tǒng)和信息的規(guī)律訪問應只限于已授權(quán)的用戶。對應用系統(tǒng)的訪問掌握措施包括但不限于：〔一〕依據(jù)定義的訪問掌握策略，掌握用戶訪問信息和應用系統(tǒng)的特定功能；〔二〕防止能夠繞過系統(tǒng)掌握或應用掌握的任何有用程序、系統(tǒng)軟件和惡意軟件對系統(tǒng)進展未授權(quán)訪問；〔三〕為重要的敏感系統(tǒng)設(shè)立隔離的運行環(huán)境。第五十八條訪問掌握實施細則詳見《XX銀行信息系統(tǒng)訪問掌握治理規(guī)定第八章信息系統(tǒng)安全治理第五十九條本規(guī)定所指的信息系統(tǒng)是本行業(yè)務(wù)處理系統(tǒng)、治理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。第六十條信息系統(tǒng)安全治理實施細則詳見《XX銀行計算機信息系統(tǒng)安全治理規(guī)定第一節(jié)信息系統(tǒng)規(guī)劃與立項第六十一條信息系統(tǒng)建設(shè)工程應在規(guī)劃與立項階段同步考慮安全問題，建設(shè)方案應滿足信息安全治理的相關(guān)要求。工程技術(shù)方案應包括以下根本安全內(nèi)容：〔一〕業(yè)務(wù)需求部室提出的安全需求。 〔二〕安全需求分析和實現(xiàn)。 〔三〕運行平臺的安全策略與設(shè)計。第六十二條信息安全領(lǐng)導小組負責派遣相關(guān)部室安全員對工程技術(shù)方案進展安全專項審查并提出審查意見，未通過安全審核的工程不得予以立項。其次節(jié)信息系統(tǒng)開發(fā)與集成第六十三條信息系統(tǒng)開發(fā)應符合軟件工程標準，依據(jù)安全需求進展安全設(shè)計，保證安全功能的完整實現(xiàn)。第六十四條信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務(wù)后將程序源代碼及相關(guān)技術(shù)資料全部移承受的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。第六十五條信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)治理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。第六十六條信息系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中進展。第六十七條涉密信息系統(tǒng)集成應選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴格的保密協(xié)議。第六十八條系統(tǒng)上線前應開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避開引發(fā)安全漏洞。第三節(jié)信息系統(tǒng)運行第六十九條信息系統(tǒng)上線運行實行安全審查機制，未通過安全審查的任何建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下：〔一〕工程承建單位〔部室〕測試報告，報信息科技部審查?！捕承畔⑾到y(tǒng)歸口責任業(yè)務(wù)部室應在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定，報信息科技部門。〔三或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。第七十條信息系統(tǒng)投入使用前信息中心應當建立相應的操作規(guī)程和安全治理制度，以防止各類安全事故的發(fā)生。第七十一條系統(tǒng)治理員負責信息系統(tǒng)的日常運行治理，并建立重要信息系統(tǒng)運行維護檔案，具體記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)操作要求雙人在場。第七十二條系統(tǒng)治理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)治理員確需對業(yè)務(wù)系統(tǒng)進展維護性操作的，應征得業(yè)務(wù)系統(tǒng)歸口責任業(yè)務(wù)處室同意并在業(yè)務(wù)操作人員在場的狀況下進展，并具體記錄維護內(nèi)容、人員、時間等信息。第七十三條嚴格用戶和密碼〔口令〕的治理，嚴格掌握各級用戶對數(shù)據(jù)的訪問權(quán)限。第七十四條在信息系統(tǒng)運行維護過程中，系統(tǒng)治理人員應遵守但不限于以下要求：〔一〕合理配臵操作系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)所供給的安全審計功能，以到達相應安全等級標準；〔二〕屏蔽與應用系統(tǒng)無關(guān)的全部網(wǎng)絡(luò)功能，防止非法用戶的侵入；〔三〕準時、合理安裝正式公布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞；〔四〕啟用系統(tǒng)供給的審計功能，或使用第三方手段實現(xiàn)審計功能，監(jiān)測系統(tǒng)運行日志，把握系統(tǒng)運行狀況；〔五〕IP人員不得修改。第四節(jié)信息系統(tǒng)廢止第七十五條廢止信息系統(tǒng)及其存儲介質(zhì)在報廢或重用前，應依據(jù)其安全級別，進展消磁或安全格式化，以避開信息泄露。第七十六條對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，按業(yè)務(wù)規(guī)定在肯定期限內(nèi)妥當保存。超過保存期限后需要銷毀的，應在信息安全領(lǐng)導小組監(jiān)視下予以不行恢復性銷毀。第八十四條安全專用產(chǎn)品在準入審核時，供給商應提出申請并供給以下資料：〔一〕公安部頒發(fā)的安全專用產(chǎn)品銷售許可證和其他必需的證明材料；〔二〕產(chǎn)品型號、產(chǎn)地、功能及報價；〔三〕產(chǎn)品承受的技術(shù)標準，產(chǎn)品功能及性能的說明書；〔四〕生產(chǎn)企業(yè)概況〔包括人員、設(shè)備、生產(chǎn)條件、隸屬關(guān)系等；〔五〕供給商的質(zhì)量保證體系、售后效勞措施等狀況的說明。第八十五條安全專用產(chǎn)品有以下情形之一的，取消其準入資格：〔一〕安全專用產(chǎn)品的功能已發(fā)生變化，但未通過檢測的；〔二〕經(jīng)使用覺察有嚴峻問題的；〔三〕不能供給良好售后效勞的；〔四〕國家有關(guān)部門取消其銷售資格的。其次節(jié)使用治理第八十六條掃描、檢測類信息安全專用產(chǎn)品僅限于信息安全治理人員使用。第八十七條信息科技部定期檢查各類信息安全專用產(chǎn)品使用狀況，認真查看相關(guān)日志和報表信息并定期匯總分析。如覺察重大問題，馬上實行掌握措施并按規(guī)定程序報告。第八十八條信息科技部應準時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能處理。第十一章文檔、數(shù)據(jù)與密碼應用安全治理第一節(jié)技術(shù)文檔第八十九條本規(guī)定所稱技術(shù)文檔是指本行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。第九十條各部室負責將技術(shù)文檔統(tǒng)一歸檔。未經(jīng)本行領(lǐng)導批準，任何人不得將技術(shù)文檔轉(zhuǎn)借、復制和對外公布。其次節(jié)存儲介質(zhì)第九十一條建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)治理應按規(guī)定異地存放。第九十二條做好存儲介質(zhì)在物理傳輸過程中的安全掌握，選擇牢靠的傳遞方式和防盜掌握措施。重要信息的存取需要授權(quán)和記錄。第九十三條加強對移動存儲設(shè)備〔Ｕ盤、軟盤、移動硬盤等〕的使用治理。對系統(tǒng)升級專用的移動存儲設(shè)備應依據(jù)相關(guān)規(guī)定由專人負責治理。第九十四條建立存儲介質(zhì)銷毀機制，對載有敏感信息的存儲介質(zhì)應依據(jù)其安全等級，承受安全格式化、消磁等不行復原的方式進展處臵并做好記錄。第九十五條介質(zhì)治理實施細則詳見《XX第三節(jié)數(shù)據(jù)安全第九十六條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的本行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。第九十七條數(shù)據(jù)的全部者〔部室〕負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，信息科技部負責審核安全需求并供給肯定的技術(shù)實現(xiàn)手段。第九十八條嚴格治理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進展業(yè)務(wù)數(shù)據(jù)有效性檢查，依據(jù)既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性。第九十九條系統(tǒng)治理員負責定期導出網(wǎng)絡(luò)和重要信息系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保存一年，妥當保管。第一百條本行信息科技部負責建立備份數(shù)據(jù)銷毀方面的治理制度，依據(jù)數(shù)據(jù)重要性級別分類實行相應的備份數(shù)據(jù)的保存時限和密級，并依據(jù)介質(zhì)處臵相關(guān)要求進展銷毀處理。第一百零一條全部數(shù)據(jù)備份介質(zhì)應留意防磁、防潮、防塵、防高溫、防擠壓存放?；謴图笆褂脗浞輸?shù)據(jù)時需要供給相關(guān)口令密碼的保管。第一百零二條生產(chǎn)數(shù)據(jù)的調(diào)用提取應遵守《XX銀行計算機系統(tǒng)生產(chǎn)數(shù)據(jù)調(diào)用及維護操作第四節(jié)口令密碼第一百零三條信息科技部負責制定和維護密碼治理方面的制度，嚴格執(zhí)行密碼安全治理策略。第一百零四條系統(tǒng)治理員、數(shù)據(jù)庫治理員、網(wǎng)絡(luò)治理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個月更換一次?？诹蠲艽a的強度應滿足必要的安全性要求。第一百零五條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應在安全的環(huán)境下進展，必要時應的口令密碼。拆閱后的口令密碼使用后應馬上更改并再次密封存放。第一百零六條應依據(jù)實際狀況在肯定時限內(nèi)妥當保存重要信息系統(tǒng)升級改造前的口令密碼。其次節(jié)外包效勞治理第一百一十七條本規(guī)定所稱外包效勞，是指由本行之外的其他社會廠商為本行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或局部的技術(shù)支持、詢問等效勞。外包效勞應簽訂正式的外包效勞協(xié)議，明確商定雙方義務(wù)。第一百一十八條外包效勞供給商供給上門維護效勞的，經(jīng)信息科技部批準后，由本行內(nèi)部人員現(xiàn)場伴隨實施。外包效勞供給商不得查看、復制本行內(nèi)部信息或?qū)?nèi)部介質(zhì)帶必要時應與設(shè)備修理廠商簽訂保密協(xié)議產(chǎn)設(shè)備的科研單位撤除與密碼有關(guān)的硬件，并徹底去除與密碼有關(guān)的軟件和信息。第一百二十條外包效勞治理詳見《XXIT第十三章大事報告、災難備份與應急治理第一節(jié)大事報告第一百二十一條信息安全大事依據(jù)信息安全大事報告流程進展報告，一般信息安全大事失較大的重大信息安全大事，應上報告計算機安全領(lǐng)導小組。第一百二十二條重大信息安全大事發(fā)生后，相關(guān)人員應留意保護大事現(xiàn)場，實行必要的急預案。其次節(jié)災難備份治理第一百二十三條災難備份是指利用技術(shù)、治理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐懼攻擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預料的突發(fā)大事〔〕治理過程。第一百二十四條本行在本行計算機信息系統(tǒng)應急領(lǐng)導小組統(tǒng)一領(lǐng)導下，組織開展重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和治理。第一百二十五條本行業(yè)務(wù)部室負責提出業(yè)務(wù)系統(tǒng)災難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)喪失量。本行據(jù)此確定災難備份等級和備份方案。第一百二十六條本行業(yè)務(wù)部室和本行協(xié)同建立健全災難恢復打算，定期開展災難恢復培訓。在條件許可的狀況下，每年進展一次重要信息系統(tǒng)的災難恢復演練。第三節(jié)應急治理第一百二十七條本行信息科技部負責制定和持續(xù)完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應急預案。應急預案應包括以下根本內(nèi)容：〔一〕總則〔目標、原則、適用范圍、預案調(diào)用關(guān)系等?！捕场踩愁A警響應機制〔報告、評估、預案啟動等?！菜摹掣黝愇C處臵流程?！参濉硲辟Y源保障?！擦呈潞筇幚砹鞒?。〔七〕預案治理與維護〔生效、演練、維護等。第一百二十八條本行計算機信息系統(tǒng)應急領(lǐng)導小組統(tǒng)一負責各業(yè)務(wù)系統(tǒng)的應急協(xié)調(diào)與指〔和調(diào)動應急資源。信息資源等變動狀況以及演練狀況適時予以更和完善，確保應急預案的有效性和災難發(fā)生時的可獵取性。第一百三十條在信息系統(tǒng)推廣應用方案中應同時設(shè)計應急備份策略，同步實施備份方案。第一百三十一條應急治理實施細則詳見《XX銀行計算機信息系統(tǒng)應急治理制度第十四章安全監(jiān)測、檢查、評估與審計第一百三十二條本行信息科技部負責每年至少進展一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)